Сегодня ситуация с безопасностью предприятий очень и очень удручающая. Кибер-преступники изо дня в день занимаются тем, что грабят предприятия на миллионы долларов. Десятки миллионов корпоративных машин оказываются зараженными. Корпоративные сети то и дело страдают от действий злоумышленников. Несмотря на то, что большую роль здесь играют и сами пользователи, высшее исполнительное руководство все же несет главную ответственность за безопасность своих предприятий.
В течение уже более чем двух десятилетий мы всегда сталкиваемся с одной и той же проблемой, заключающейся в том, что руководство, по словам IT-персонала, не занимается усовершенствованием собственной безопасности. Каждое предприятие находится в состоянии постоянной незащищенности, когда многолетние уязвимости усугубляются слабой надежностью системы.
Многое связано и с тем, что используемый подход к расчету соотношения между расходами и уровнем риска устарел. В бизнесе, как правило, никто не будет тратить деньги если затраты, по крайне мере, не равны потенциальному ущербу, либо превышают его. Например, ты не будешь тратить миллион долларов на антивирус если потенциальный ущерб, которого ты хочешь избежать, не будет оценен в миллион долларов или больше. Каждое решение вопроса компьютерной безопасности связано с подобным расчетом.
Проблема заключается в том, что в течение десятилетий решение громоздких числовых задач показывало, что хорошая система безопасности не оправдывала затраченных на нее средств. Когда хакеры вламывались в систему предприятия, было неважно, насколько успешна была атака и какой огласке это предавалось, курс акций компании оставался неизменным или даже поднимался. Этот факт не остался незамеченным руководством. Соответственно, все многочисленные жалобы IT-персонала на плохую безопасность и возможные риски воспринимались руководством как перестраховка и ложная тревога.
В течение двух десятилетий большая часть вредоносного ПО и даже хакеры не приносили особого вреда. Они были просто досадным фактом и не более того. Но теперь ситуация изменилась. Большинство хакеров со своим вредоносным ПО являются самыми настоящими преступниками. Иностранные хакеры, с большой долей вероятности, разграбили большую часть мировой интеллектуальной собственности. Большая часть информации о финансах и личных данных пользователей уже украдена. Практически любую сеть можно взломать, лишь бы было желание. Большинство сетей уже активно взламываются, а незваные гости с легкостью завладевают полным контролем над ними.
В течение последних нескольких месяцев мы видели, как несколько компаний понесли ущерб размером в миллионы, или даже, миллиарды долларов. Это Sony, RSA и т.д. Хакеры вынесли секретные данные и поместили их на всеобщее обозрение, злоумышленники, не стесняясь, атакуют своих преследователей. Кампании, направленные против предприятий, настолько всепоглощающие, что можно назвать их "атаками на репутацию". Всего лишь одно такое нападение может полностью очернить хорошее имя компании, превратив ее из уважаемого предприятия в "мальчика для битья". Это происходило, происходит и будет происходить. Мир компьютерной безопасности сильно изменился.
Руководители предприятий должны понимать, что старые модели затрат и расходов больше не работают. Парадигма безопасности изменилась. Все то, о чем переживал IT-персонал все эти годы, уже произошло.
Каково же может быть решение проблемы? Руководство должно попросить свой IT-персонал составить список предложений по усовершенствованию системы безопасности, что нужно сделать и что нужно исправить. Они должны произвести оценку рисков по десятибалльной шкале и начать исправлять их уже сейчас, начиная с самых серьезных уязвимостей. Вместо того, чтобы тратить силы и деньги на экзотические, супернавороченные решения, необходимо сконцентрироваться на усовершенствовании основ: устранение компьютерной безграмотности среди персонала, улучшенный патчинг, усовершенствованные разработки ПО, шифрование по умолчанию вместе с администрированием по принципу предоставления минимальных прав.
Понятно, что нужно делать. Нам нужно только начать это делать и делать это хорошо. Цена бездействия может оказаться слишком высокой.
